المشكلة
توفر Cisco Umbrella أماناً للبيئة النهائية من خلال إعادة توجيه طلبات DNS إلى شبكة عالمية من الخوادم.
إذا كانت فحص TLS في حساب Cato مفعلًا وتم تعيين الخيار 'شهادات الخادم غير الموثوق به' إلى حظر أو تحذير، فإن المواقع التي تتطلب إعادة توجيه بواسطة Cisco Umbrella (بسبب إجراء أمني من Cisco) ستتلقى صفحة حظر/تحذير من Cato.
البيئة
- فحص TLS مفعل
- تم تعيين خيار 'شهادات الخادم غير الموثوق به' إلى حظر أو تحذير.
استكشاف الأخطاء وإصلاحها
- ابحث عن الأحداث المتعلقة بـ TLS للموقع المحظور. سيظهر حقل خطأ شهادة TLS 'لا يمكن الحصول على شهادة المصدر المحلية'.
- إذا كان عنوان IP الوجهة المعروض في الحدث ضمن نطاقات IP 146.112.0.0/16, 155.190.0.0/16, و151.186.0.0/16، فإن ذلك يشير إلى أن إعادة توجيه DNS بواسطة Cisco Umbrella قد حدثت.
- سوف يؤدي إعادة التوجيه إلى خطأ TLS من Cato بسبب صفحة حظر/تحذير من Cato لأن مصدر الموقع (Cisco Umbrella Root CA) غير موثوق به من Cato. يتم تقديم سلسلة الشهادات أدناه للمستخدم النهائي عند تجاوز Cato.
الحل
يجب تجاوز نطاقات IP الخاصة بـ Cisco Umbrella من فحص TLS في Cato. عند القيام بذلك، لن تقوم Cato بحظر إعادة توجيه Umbrella بسبب فشل اختبار الشهادة.
حسب موقع Cisco، النطاقات IP المستخدمة من قبل خدمة Umbrella هي 146.112.0.0/16, 155.190.0.0/16, و151.186.0.0/16.
لمعرفة كيفية تجاوز فحص TLS، انظر استخدام قواعد تجاوز حركة مرور TLS.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.